Der Einsatz von Messenger-Diensten wie WhatsApp haben in der geschäftlichen Kommunikation nichts verloren. Aus datenschutzrechtlicher Sicht kann das zu ernsten Konsequenzen führen. Besser wird es dabei nicht dadurch, dass dies auf den privaten Endgeräten der Mitarbeiter geschieht.
In den USA wurde jetzt die dortige Aufsichtsbehörde tätig. Nicht weniger als 16 Banken wurden im Herbst 2022 mit Bußgeldern i.H.v. insgesamt 1,1 Mrd. US-Dollar wegen betrieblicher Kommunikation der Mitarbeiter über solche Dienste auf ihren Privatgeräten bedacht.
Sie wollen ein ähnliches Bußgeld vermeiden? Sie möchten rechtlich abgesichert betriebliche Kommunikation ermöglichen? Dann rufen Sie uns jetzt an (0721 120500) oder schreiben Sie uns eine E-Mail an info@schutt-waetke.de. Wir beraten und unterstützen Sie!
Was ist zu beachten?
Erstes Problem: Geschäftliche Kommunikation über Privatgeräte
Sowohl aus datenschutzrechtlicher Sicht als auch in Sachen Informationssicherheit ist das Thema geschäftliche Kommunikation auf privaten Endgeräten eine große Herausforderung.
Dies birgt mehrere Risiken, vor allem die mangelnde Kontrollmöglichkeit des Arbeitgebers über Privatgeräte und deren technische Sicherheit.
Ein komplettes Verbot betrieblicher Kommunikation auf privaten Endgeräten ist aus rechtlicher Sicht zwar empfehlenswert. Jedoch lässt sich dies in der Praxis kaum effektiv durchsetzen. Um Vermischung von privaten und geschäftlichen Daten sowie unkontrollierte Speicherung und Vervielfältigung vertraulicher Informationen dennoch zu vermeiden, gilt es neben entsprechenden Richtlinien (z.B. BYOD-Policy, also eine Richtlinie zum Thema „Bring your own Device“) vor allem proaktiv technische Vorkehrungen zu treffen.
Mittel der Wahl ist das sog. „Sandboxing“ bzw. entsprechende Container-Lösungen. Das sind Verfahren, bei dem Apps auf den mobilen Endgeräten in einer isolierten Umgebung ausgeführt werden (einer Sandbox bzw. Container), um zu verhindern, dass sie auf Daten und Funktionen außerhalb ihrer eigenen Umgebung zugreifen können. Für bestimmte Funktionalitäten wie Datenaustausch und Kommunikation wird die Sandbox/der Container mit Hilfe von Berechtigungen nach außen hin geöffnet. Durchgeführt wird dies, indem ein besonderes Containersystem („Container-App“) zur Verfügung gestellt wird, das vom Arbeitnehmer zu installieren und zu nutzen ist.
Die Nutzung des privaten Endgerätes zu dienstlichen Zwecken darf ohne die Installation der vom Arbeitgeber zur Verfügung gestellten Container-App nicht gestattet sein. Das ist über die oben genannten BYOD-Policy abzusichern. Damit wird sichergestellt, dass privat genutzte Apps weder Zugriff auf die Adressbücher noch auf sonstige Dateien in der Container-Umgebung erhalten (Chat-Anhänge werden oft automatisch in der Mediathek des Endgeräts gespeichert) – außer es ist durch die Administratoren ausdrücklich freigegeben.
Die so erfolgte technische Trennung privater und dienstlicher Inhalte auf dem Endgerät, indem zwei voneinander getrennte Arbeits- und Datenbereiche geschaffen werden, gewährleisten, dass der Arbeitgeber als datenschutzrechtlich Verantwortlicher dienstliche Daten ausreichend schützt und seinen datenschutzrechtlichen Kontroll- und Schutzpflichten nachkommt.
Zweites Problem: Betriebliche Kommunikation über Messenger-Dienste
Messenger-Dienste sind grundsätzlich datenschutzrechtlich kritisch zu betrachten. Erforderlich ist zumindest alle Maßnahmen zu ergreifen, die für eine möglichst datenschutzfreundliche Einstellung (Privacy by Default) sorgen.
Ein datenschutzkonformer Einsatz kann grundsätzlich möglich sein. Grundvoraussetzung ist, dass ein Mobile Device Management (MDM) vorliegt, das bestimmte Voraussetzungen erfüllt. Insbesondere ist ein Zusammenspiel aus technischen und organisatorischen Maßnahmen erforderlich (bspw. Zwei-Faktor-Authentifizierung, Verschlüsselung, Deaktivierung automatischer Cloud-Backups, Telefonbuchsynchronisierung sowie automatischer Speicherung von Chat-Anhängen in allgemeiner Medienbibliothek etc.).
Auch darf der Arbeitgeber nicht vergessen alle Maßnahmen und die Einhaltung der BYOD-Policy durch regelmäßige, stichprobenartige Kontrollen zu überprüfen.
Und: Manche deutschen Datenschutzbehörden (bspw. das Bayerische LDA) sehen insbesondere die Nutzung von WhatsApp im betrieblichen Kontext weiterhin pauschal als datenschutzwidrig an. Daher muss jeder Arbeitgeber gut überlegen, ob das bestehende rechtliche Risiko eingegangen wird.
Natürlich gibt es daneben auch Messenger-Dienste mit datenschutzfreundlicheren Voreinstellungen – hier sollten Unternehmen die verschiedenen Alternativen vergleichen.
Fazit
Die moderne Kommunikationswelt macht vor den Unternehmen und dem Austausch von Nachrichten durch die Beschäftigten nicht Halt. Rechtlich betrachtet birgt das Thema aber enorm Probleme. Das gilt jedenfalls dann, wenn nicht ein komplettes Verbot der Nutzung privater Geräte und von Messenger-Diensten gilt und auch durchgesetzt werden kann.
Ansonsten muss das Unternehmen einiges tun, um rechtlich auf einer einigermaßen sicheren Seite zu sein. Diese Maßnahmen sind vielfältig, aber beherrschbar.
Wir beraten und begleiten Unternehmen bei solchen Prozessen und helfen Ihnen durch Erstellung von Richtlinien und Texten auch, diese Maßnahmen zu dokumentieren und die Beschäftigten mitzunehmen.